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Prufungsantrag gem. § 44 PatG ist gesteitt 

@ Verfahren zur Erkennung des MiSbrauchs einerZugangsberechtigung 

@ Die Erfindung richtet sich auf ein Verfahren zum Erkennen 
der unaiiaiibten Benutzung einer zum Zugriff auf eine 
Dienstleistungsanlage, zum Zugang zu Raumen o. dgl. 
berechtigenden Identifizierung mit einem personenbezoge- 
nen Speidierniedium und mit einer Schreib-/Leseeinrich- 
tung fur dieses Speichermedium, wobei die Schreib-A^ese- 
einrichtung mit einer Auswerte-_ und Entscheidungseinrich- 
tung kommunizlert wobei zur Oberprufung der IdentrRzie- 
rung in dem personenbezogenen Speichermedium gespei- 
cherte Daten gelesen und an die Auswerte- und Entschei- 
dungseinrichtung ubertragen werden, welche in Abhangig- 
keit von diesen Oaten eine Interaktion gewahrt oder verwei- 
gert, und wobei mmdestens ein Teil der ubertragenen Daten 
variabel ist; erfindungsgemafi werden die variablen Daten 
" bei jeder Interaktion zumindest teiiweise durch neue Daten 
f Qberschrieben, die von der Auswerteeinrichtung generiert 
und zu dem Speichermedium ubertragen werden, und die 
bet der nachsten Interaktion von der Auswerte-/Entschei- 
dungseinrichtung als neues Schlusselwort zur Identrfizierung 
verlangt werden. 
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Besdireibung 

Die Erfindung riditet sich auf ein Verf ahren zum Er- 
kennen der uneriaubten Benutzung einer zum Zugriff 
auf eine Dienstleistungsanlage, zum Zugang zu Raumen 
od. dgL berechtigenden Identifizierung mit einem perso- 
nenbezogenen Speichennediuzn, einer Schreib-/Lese- 
eimichtung fur dieses Speidiermedium und einer Aus- 
werte- und Entscheidungseinrichtung, wobei zur Identi- 
&denmg in dem personenbezogenen Speicfaermedium 
gespeicherte, variable Daten gelesen und an die Aus- 
werte- und Entscheidungseinricfatung ubertragen wer- 
den. 

Insbesondere bei Mobilfunknetzen ist die Grefahr ei- 
nes MiBbraudis relativ groB, denn hier kann eine Mani- 
pulation an einem Endgerat nicht erkannt werden, au- 
Berdem iassen sich manipulierte Endgerate aufgrund ih- 
r&r Mobilitat viel intensiver nutzen als bspw. stationare 
Telef onanschiusse, so daS der entstehrade Schaden bei 
Mobilfunknetzen wdtaus grofier sein kann. 

Zur Vermeidung eines MiBbrauchs von Mobilfunk- 
netzen sind daher eine Reihe von Sicheiiieitsvorkehrun- 
gen vorgesehen: Jeder Teilnehmer besitzt eine sog. 
Qiip-Karte, mit fur ihn cfaarakteristischen Daten, die er 
zunachst in ein Endgerat (Handy) einsetzen muB, um 
dieses in Betrieb nehmen zu konnen. Sof em der Teilneh- 
mer mit dem Mobilfunknetz in Interaktion treten will, 
d. h, zur Durcfafuhnmg eines Gespradis auf dieses zu- 
greifen will, muB er zunachst seine personliche Identifi- 
kadonsnunmier eingeben, weldie das Handy nun mit 
den auf der eingesetzten Chip-Karte gespeicherten Da- 
ten vergieidit Stimmt diese Zahl uberein, so ericennt 
das Handy die Idratitat des Teilnehmers und tritt nun in 
Konununikation mit einer Zentrale des Mobilfunknet- 
zes, um einen Gesprachskanal zu eilialten. Zu diesem 
Zweck funkt das Handy eine Identifikationsnummer; 
daraufhm antwortet die Zentrale durch Obertragung 
e iner Zuf allszahl X. Nun unterwirft das Handy die emp- 
fangene Zufallszahl X einer auf der Chip-Karte abge- 
speicherten Schlusselfunktion Y und generiert solcher- 
maBen eine Ergebniszahl Z. Diese wird zur Zentrale 
gefunkt, wekdie das Ergebnis Z mit einem intern errech- 
neten Referenzwert vergleidit und bei Identitat dieser 
beiden Werte den Zugriff auf das Mobilfunknetz frei- 
gibt und einen Gespradiskanal zuteilt Dieses Verf ahren 
soU einem MiBbrauch des Mobilfunknetzes vorbeugen, 
indem selbst durdi Abboren von Kontrollkanaien und 
der darauf folgenden Erkennung von Teilnehmemum- 
mem dennodi die Sddusselfunkdon Y unbekannt 
bleibt, so daB ein Betruger niemals die richtige Antwort 
Z auf die jeweils imterschiedliche Zufallszahl X senden 
kaim. Es ist jedoch mdglich, in betrugerischer Absicht 
eine 1 : 1-Kopie einer Chip-Karte anzufertigen und da- 
bei audi die interne Schltisselfunkdon Y zu kopieren, 
die eine Bestimmumg des jeweils richtigeaErgebnisses Z 
und somit einen MiBbrauch der betreffenden Teilneh- 
mer-Identifizierung zulaBt 

Um audi hier einen verbesserten Schutz vor MiB- 
brauch zu bieten, sieht die DE-PS 34 48 393 vor, daB 
sowohl in der Teilnehmerstation wie auch in der Zentra- 
le des Mobilfunknetzes zusatzliche, veranderbare Daten 
voriianden sind, wobei zum Verbindungsaufbau die be- 
treffenden Daten von der Teilnehmerstation zur .Zen- 
trale ubertragen werden, um dort miteinander vergli- 
chen zu werden. Hierbei ist vorgesehen, daB als veran- 
derbare Daten die Zahl von erfolgreichen Verbindungs- 
aufbauten der Teilnehmerstation verwendet wird, und 
daB in der Teilnehmerstation wie auch in der Zentrale 
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jeweils ein Zahler angeordnet ist, weldie Zahler bei 
jedem erfolgreidien Verbindungsaufbau mkrementiert 
werden. Hier wird ansteile des fest vorgegebenen 
Schlussels ein variabler Zahlerstand verwendet, der sich 
5 mit jedem Telefongesprach verandert Man erhalt da- 
durch sozusagen dnen "dynamischen" Sdilussel, der fol- 
genden Vortdl hat: Wird eine 1 : 1-Kopie der betreffen- 
den Chq>-Karte angefertigt, ist zun^dhst der Zahler- 
stand auf der kopierten Karte richtig; bei der nun fol- 
io genden Benutzung der betrugerisch angefertigten Kar- 
te wird zunachst auch das Schlusselwort immer richtig 
inkremendert, so daB mehrere Gespradie m5g^di sind. 
SobaM jedoch die Qriginal-Qiip-Karte wieder benutzt 
wird, kann die Zentrale an dem ubertragenen, falschen 

15 2^erstand ericennen, daB dn Zwdtgerat dieselbe 
Identifizierung benutzt Daraufhin firagt die Zentrale d- 
ne zwdte Kennung ab, um das Qriginalgerat herauszu- 
finden, und sobald dies geschdien ist, kopiert die Zen- 
trale dessen Teilnehmemummer, so daB nun der bereits 

20 hodigezahlte Zahlerstand der betrugerischen Kopie 
falsdi ist Bd diesem Verfahren mit "dynantuschem" 
Schlussel kann zwar ein MiBbrauch erkannt und vor- 
ubergehend ausgesdilossen werden. Sobald der Betru- 
ger jedoch eine Diskrepanz seines Zahlerstandes er- 

25 kennt, kann er durch manuelies Herabz§hlen seines 
Zahlers versudien, den aktuellen Zahlerstand der Zen- 
trale herauszufinden, und sidi dann abermals in das Mo- 
bilfunknetz einschmuggeln. 
Aus diesen Naditeilen des vorbekannten Stands der 

30 Technik resultiert das die Erfindung initiierende Pro- 
blem, ein Verfahren zum Erkenpen des MiBbrauchs ei- 
ner Zugangs- Oder Zugriffsbereditigung in Form einer 
auf einem personenbezogenen Speichermedium gespei- 
cherten Identifizierung dahingehend zu verbessem, daB 

35 selbst bei einer 1 : 1-Kopie des Speidiermediums und/ 
oder bei Verwendung eines Tntelligenten" Nachbaus ei- 
nes derartigen Speichermediums keinerlei Moglichkeit 
eines dauerhaften MiBbrauchs besteht 
In Verfolgung dieses Ziels sieht die Erfindung vor, 

40 daB die zur Identifizierung vor jeder Interaktion Ober- 
tragenen, variablen I>aten bei jeder Interaktion zumin- 
dest teilweise durch neue Daten ubersdirieben werden, 
die von der Auswerteemricfatung generiert und zu dem 
Speichermedium ubertragen wwden, und die bei der 

45 nacfasten Interaktion von der Auswerte-TEntschei- 
dungseinriditung als neues Schlusselwort zur Identifi- 
zierung verlangt werden. Die Erfindung geht hierbei aus 
von der Idee eines "dynamischen** Schlussels, uberlaBt es 
jedoch nicht der betreffenden Teihiehmerstation, das 

50 nachste Schlusselwort selbst zu generieren, sondem er- 
zeugt das nachst folgende Sdilusselwort auf vdllig un- 
vorhersehbare Art selbst und ubertragt es sodann auf 
die Teilnehmerstation, welcbe dieses bis zur nachsten 
Interaktion speidiert Hierdurch kann das nadistf olgen- 

55 de Sdilusselwort von keiner anderen Teilnehmerstation 
als eben dieser ennittelt werden, weder durch eine 
1 : 1-Kopie der betreffenden Chip-Karte, noch durch ei- 
nen Intelligenten" Nachbau mit bspw. eingebauter De- 
krementierfunktion eines 2^ahlers od. dgL ^e in betru- 

60 gerischer Absicht angefertigte 1 : 1-Kopie einer Chip- 
Karte wird spatestens dann erkannt, wenn die zur Be- 
nutzung berechtigte Person ihre Originalkarte mit dem-^ 
alten Schlusselwort benutzt Sobald diese daraufhin ein 
neues Schlusselwort erhalten hat, ist es fur die 1 : 1-Ko- 

65 pie niemals mehr moglich, den richtigen Schlussel her- 
auszufinden. Dies ist dadurch sidiergestellt, daB die von 
der Auswerteeinrichtung generierten Daten auf vdllig 
unvorhersehbare Art, bspw. mit einem Zuf allsgenerator 
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erzeugtwerden. 

Um zu ericennen, wieviele der zuletzt gefOhrten Ge- 
sprache auf das Konto der betrugerisdi angefertigten 
1 : l-Kopiezuiwlmensmd,isterfindungsgemaBweiter- 
bin vorgesehen, daB ein anderer Tefl der variablen Da- 5 
ten bei jeder Interaktion durch einen 2^erbaustein 
inkrementiert wird, wobei dieser Tefl der variablen Da- 
ten zur Obertragung ggf. verscblusseit werden kann. 
Hierdurch ist es der Zentrale eines Mobilfunknetzes 
bspw. moglidi, die Differenz der Zahlerstande Aires 10 
Zahlers minus des Zahlers der als Original erkannten 
Teflnehmerstation zu bilden, wobei diese Differenz die 
Anzahl der betrugerisch gefubrten Gesprache anga>t 
Nun konnen die betreffenden Gebuhreneinheiten von 
der Redmung des Originalteilnehmers subtrahiert wer- 15 
den, so daB dieser von dem Betrugsversuch keinen 
Sdiadenhat 

Um die tatsachlicb zugangsberechtigte Person von 
dem Betruger zu unterscheiden, kdnnen in der Aus- 
werteeinrichtung ein PaBwort und/oder personenbezo- 20 
gene Daten gespeichert sein, welche ausschlieBlich der 
zugangsberechtigten Person bekannt sind und deren 
manuelle oder verbaie Eingabe die Vergabe eines neuen 
Schliisselworts an diese Original-CJiip-Karte veranlaBt, 
unabhangig davon, ob das von dieser zuletzt gelesene 25 
Schlusselwort richtig war oder nicht Die Abfrage eines 
PaBworts oder personenbezogener Daten kann dabei 
bevorzugt von etnem Bediensteten des Systembetrei- 
bers vorgenonmien werden, dem neben dieser T^tigkeit 
eine Reihe weiterer Aufgaben iibertragen sein kdnnen. 30 
Zur Erhdhung der Sicherheit gegenuber Betrugem 
kann wahrend eines derartigen Gesprachs, insbesonde- 
re wahrend der Nennung eines PaBworts, dne Stim- 
menanalyse durdigefuhrt werden, mit deren Hilfe sidi 
zuverlassig uberprufen laBt, ob die betreffenden Daten 35 
tatsachlkb von der bereditigten Person stammen. 

Um eine betrugerische Chip-Karte ein fur allemal zu 
entwerten, wird auf grund einer f alschen Identifizienmg 
jegliche weitere Interaktion verweiger^ so daB keineriei 
Kosten anfallen. Es ist jedoch audi moglich, dieser be- 40 
trugerisdien Station eine richtige Identifizierung vorzu- 
tausdien und das bspw. folgende Telefongesprach auf- 
zuzeidmen, um daraus Riicksdilusse uber den Betruger 
zugewinnen. 

Um auch bei der InitiaMerungsphase einer erfin- 45 
dungsgemaBen Chip-Karte die Vergabe eines PaBworts 
an eine betrugerisdi erstellte Chip-Karte auszusdilie- 
Ben, kann gemaB dner bevorzugten Wdterbfldung der 
Erfindung das PaBwort bei einer erstmaligen Interak- 
tion von dem Sperchermedium gelesen und in der Aus- 50 
werteeinheit gespeidiert und sodann auf dem Speidier- 
medium voUstandig geldsdit werden. Hierdurch erfolgt 
ausschlieBlich ein Datentransfer von der Mobilstation 
zur Zentrale, niemals dagegen in umgekehrter Riditung. 
Indem das PaBwort sodann auf dem Speichermedium 55 
geldscht wird, kann es selbst bei einer 1 : 1-Kopie nicht 
mehr auf gefunden werden. 

Die Erfindung ist nicht auf Mobflfunknetze be- 
schrankt, sondem kann auch bei anderen Dienstlei- 
stungsanlagen wie Telefonnetzen, bankeigenen Netzen eo 
von Geldausgabeautomaten. (firmeneigenen) Compu- 
temetzen oder -systemen od. dgL vorteilhaft eingesetzt 
werden. Voraussetzung ist ausschlieBlich die Vergabe 
von personenbezogenen Speichermedien an zum Zu- 
gang oder zum Zugriff berechtigte Personen, um diese 65 
iden:dfizieren zu kdnnea Wahrend bei offentlichen Te- 
lefoiien, Geldausgabeautomaten od dgL eine Kommu- 
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fenden Zentrale der Di^istieistungsanlage ausschlieB- 
Uch zum Zweck eines Zugriffe auf diese Diensdeistungs- 
anlage erfolgt, so daB als Interakdon tatsachlkh nur em 
erfolgrddier Zugriff anzusehen ist, lauf en in Mobilfunk- 
netzen regelmaBig systeminteme Funkdonen ab, die 
ebenfalls als Interaktionen im Sinne der Erfindung ange- 
sdhen werden konnen, wetehe eine Afctualisierung der 
variablen Daten ermo^chen. Bei diesen systeminter- 
nen Funkdonen handelt es sich bspw. um die in regehna- 
Bigen Zeitabstanden erfolgende Rudoneldung einer 
Teilnehmerstation, um in einer KontroIIiste in der Zen- 
trale des Mobilfuidaietzes ihre Kommunikationsberdt- 
sdiaft zu signatisieren. Eine weitere Kommunikation 
zwisdien Mobilstation und Funknetz findet immer dann 
statt, wenn die Mobilstation eine Funkzone verlaBt und 
sidi infolge der nadilassenden Empf angsf eldstaiice eine 
andere Feststation auswahlt Auch bei dieser als Roa- 
ming bezeidmeten Zuordnung ist eine Identxfizienmg 
der Teilnehmerstation notwendig, bei der ansddieBend 
die variablen Daten uberschrieben werden kdimen. Die 
Aktualisierung der variablen Daten bei jeder derarti- 
gen, systemintemen Funkdon steUt sidier, daB ein be- 
trugerisdies Zwei^erat innerhalb ernes kurzesten Zdt- 
intervalls erkannt wird, selbst wenn die zugangsberech- 
tigte Person fiber einen groBeren Zeitraum hinweg 
nicht selbst auf das Mobilfunknetz zugreifL Hierdurch 
laBt sich der wirtschaftliche Schaden betrugerisdier Ak- 
tivitaten auch fur den Betreiber des Mobilfunknetzes 
auf einen vemadilassigbar niedrigen Betrag reduzieren. 

Patentanspruche 

L Verfahren zum Ericennen der uneriaubten Benut- 
zung einer zum Zugriff auf eine IMensdeistungsan- 
lage, zum Zugang zu Raumen od. dgL berechtigen- 
den Identifizierung mit einem personenbezogenen 
Speichermedium, insbesondere in Form einer Chip- 
Karte, und mit einer Schreib-ZLeseeinriditung f5r 
dieses Speichermediimi, wobei die Sdireib-ZLese- 
einricfatung mit einer Auswerte- und Entschei- 
dungseinrichtung, bspw. in Form einer Steuerzen- 
trale oder eines Zentralcomputers der Diensdei- 
stungs- Oder Raumuberwachungsanlage kommuni- 
ziert, wobei zur Oberprufung der Identifizierung in 
dem personenbezogenen Speidiermedium gespei- 
cherte Daten gdesen und an die Auswerte- und 
Entscheidungseinrichtung iibertragen werden, wel- 
che in Abhangig^eit von diesen Daten erne Interak- 
tion, insbesondere den Zugriff/Zugang oder eine 
systeminteme Funktion. gewahrt oder verweigert, 
und wobei mindestens ein Teil der ubertragenen 
Daten variabel ist, dadurch gekennzeidmet, daB 
die variablen Daten bei jeder Interaktion zumin- 
dest teihveise durch neue Daten uberschrieben 
werden, die von der Auswerteeinrichtung generiert 
und zu dem Speidiermedium ubertn^en werden, 
und die bei der nadisten Interaktion von der Aus- 
werte-ZEntscheidungseinrichtung als neues Schlus- 
selwort zur Identifizierung verlangt werden. 
Z Verfahren nach Anspruch 1, dadurch gekenn- 
zeidmet, daB die von der Auswerteenirichtung ge- 
nerierten Daten auf vollig unvorhersehbare Art> 
bspw. mit einem Zuf allsgenerator, erzeugt werden. 
3. Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeidmet, daB ein anderer Teil der variablen 
Daten bei jeder Interaktion durch einen Zahlerbau- 
stein inkrementiert wird, wobei dieser Teil der va- 
riablen Daten zur Obertrammff ffrf. verschlusselt 
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werdenkaniL 

4. Verfahren nach einem der vorhergehenden An- 
sprQdie, dadurch gekeimzeichnet, daB in der Aus- 
werteeinrichtimg ein PaBwort und/oder personen- 
bezogene Daten gespeichert ist (sindX welche($) 5 
ausschlieBlich der zugri^-Zzugangsbereditigten 
Person bekannt ist (sind), und dessen (deren) manu- 
elle und/oder verbale Eingabe die Vergabe eines 
neuen Schlussehvorts an das dieser Person zuge- 
ordnete Speichermedium veranlaBt, unabhingig 10 
davon, ob das zuletzt gelesene Schlussetwort rich- 
tig war Oder nicfat 

5. Verfahren nach Ansprudi 4» dadurdi gekenn- 
zeichnet, daB bd Abweichung der variablen Daten 
von den der Auswerte-ZEntscheidungseinheit be- 15 
kannten SoU-Daten der Zugriff/Zugang mit der be- 
treffenden Identifizienmg verweigert wird, bis sich 
die zugangsbereditigte Person mtttels des nur ihr 
bekannten PaBworts und/oder durdi Eingabe wei- 
terer» personenbezogener Daten ausgewiesen und 20 
daraufhin einen neuen Satz variabier Daten erbal- 
tenhat 

6. Verfahren nadi Anspruch 4 oder 5, dadurch ge- 
kennzeichnet, daB das PaBwort bei einer erstmah- 
gen Interaktion von dem Speichermedium gelesen 25 
und in der Auswerteeinheit gespeichert und sodann 
auf dem Speichermedium vollsl^dig gel5scht wird. 

7. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeidmet, daB die Dienst- 
leistungsanlage ein Mobilfunk- oder Telefonnetz, 30 
das bankeneigene Netz von Gekiausgabeautoma- 
ten, ein (firmeneigenes) Computemetz oder -sy- 
stem oddgL ist 

8l Verfahren nach einem der voriiergehenden An- 
sprudie, wobei die Dienstieistungsanlage ein Mo- 35 
bilfunknetz ist» dadurch gekennzeichnet, daB die va- 
riablen Daten vor Beginn eines Verbindungsauf- 
baus und/oder in regehnaBigen 2^tabstanden (Ti- 
mer-Ablauf) und/oder beim Zuordnen zu einer 
neuen Funkzone (Rooming) durch neue Daten 40 
uberschrieben werden. 
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